情報セキュリティとは

情報技術の発展が目覚ましい現代において、情報セキュリティはあらゆる企業が対応しなければならない課題の一つです。有益な情報は、企業活動を有利に進めるのに役立つ一方、機密情報が漏えいしてしまうと経営全体にとって致命的な打撃となります。
つまり、情報を有効かつ安全に活用することが重要となります。

情報セキュリティについて、ISO/IEC27001(情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)では以下のように定義しています。

「情報の機密性,完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。」
(出典:ISO/IEC27001:2005 3 用語及び定義より)

機密性、完全性、可用性(情報セキュリティの3要件)を満たしていることが、「情報セキュリティが維持されている状態である」といえます。
また、定義ではこの3要件に真正性、責任追跡性(否認防止)、信頼性を加えることも認められています。

以下で、これらの情報セキュリティの要件について説明します。

【機密性】

機密性とは、認可されていない者が情報を利用できないようになっている、または非公開となっている状態を指します。例えば、パソコンにパスワード等を設定せずそのまま使用していると、万一パソコンを紛失した時に、中のデータを盗み出され情報漏えいにつながる恐れがあります。
また、公衆Wi-Fiなどの暗号化されていない通信を利用して情報をやりとりしてしまうことも、第三者から情報を盗み出されてしまう原因となります。

【完全性】

完全性とは、情報や情報の処理方法が最新かつ正確である状態を指します。保有している情報に誤りがあった場合、業務に支障をきたす恐れがあります。
このため、情報を更新する際には、管理者によるダブルチェックを義務付けるなどの対策が求められます。

【可用性】

可用性とは、許可を受けた者が必要な時に、情報をいつでも利用できる状態を指します。
例えば、パソコンの故障やネットワークの不具合などによって、必要な情報にアクセスできないような状態は可用性を確保できていないということになります。
このため、バックアップの実施や機器の冗長化などの対策を取ることが必要です。また、オフィスやデスクを整理整頓し、どこにどの書類があるのか一目瞭然な状態にしておくことも、可用性を確保する手段の一つです。

【真正性】

真正性とは、利用者やシステムの振る舞いが本物であることが証明できる状態のことを指します。
例えば、第三者によるなりすましや偽の情報によるシステムの利用を防ぐことが、真正性の確保につながります。
有効な手段としては、デジタル署名を利用して情報の発信元を本物であると証明することが考えられます。

【責任追跡性/否認防止】

責任追跡性とは、誰がいつどの情報を利用したのかが明確になっている状態のことを指します。
また否認防止とは、ある行為をしたことが後になって否認されないようになっている状態を指します。
ファイルの作成や更新、削除等が行われた場合、それを行なったのが誰なのかを正確に把握できるようにしておくことで、万一の事故が起きた際に責任の所在を明らかにすることができます。
例えば、アクセスログや操作ログを取得・保管することで、責任追跡性および否認防止を確保することができると考えられます。

【信頼性】

信頼性とは、システムが一貫して不具合や矛盾がなく動作する状態を指します。機器やシステムが不正な動作をせず、意図した通りに機能する状態となっていることが求められます。
システムのバグをきちんと修正する、開発元不明のシステムは利用しないなどの対策が考えられます。

情報セキュリティマネジメントを構築する際には、コンセプトのどれかに特化するのではなく、バランスを意識しながらそれぞれに対策を遂行することが重要です。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISMS取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される会社の状況によって変わりますので、まずはお気軽にご相談ください。

ISMS/ISO27001認証取得コンサルティングへのお問い合わせはTEL:0120-979-873 お電話でのお問い合わせ(受付時間)平日9:00~18:00

ページの先頭へ戻る